عثرت مجموعة التصيد الاحتيالي مفتوحة المصدر ( AiTM ) على عدد من المحتالين في عالم الجرائم الإلكترونية نظرًا لقدرتها على تنظيم الهجمات على نطاق واسع.
تتعقب Microsoft Threat Intelligence فاعل التهديد وراء تطوير المجموعة تحت لقبها الناشئ DEV-1101 .
عادةً ما يتضمن هجوم التصيد الاحتيالي من AiTM أحد الجهات الفاعلة المهدد التي تحاول سرقة واعتراض كلمة مرور الهدف وملفات تعريف الارتباط للجلسة من خلال نشر خادم وكيل بين المستخدم وموقع الويب.
تعتبر هذه الهجمات أكثر فاعلية نظرًا لقدرتها على التحايل على حماية المصادقة متعددة العوامل (MFA).
يقال إن DEV-1101 ، وفقًا لعملاق التكنولوجيا ، هو الطرف وراء العديد من مجموعات التصيد الاحتيالي التي يمكن شراؤها أو استئجارها من قبل جهات إجرامية أخرى ، مما يقلل من الجهد والموارد المطلوبة لإطلاق حملة التصيد الاحتيالي.
وقالت مايكروسوفت في تقرير تقني: "إن توفر مجموعات التصيد هذه للشراء من قبل المهاجمين هو جزء من تصنيع اقتصاد مجرمي الإنترنت ويقلل من حاجز الدخول للجرائم الإلكترونية" .
يمكن أن يؤدي الاقتصاد القائم على الخدمة الذي يغذي مثل هذه العروض أيضًا إلى سرقة مزدوجة ، حيث يتم إرسال بيانات الاعتماد المسروقة إلى كل من مقدم خدمة التصيد الاحتيالي وعملائه.
تأتي مجموعة البرامج مفتوحة المصدر من DEV-1101 مزودة بميزات تجعل من الممكن إعداد الصفحات المقصودة للتصيد الاحتيالي التي تحاكي Microsoft Office و Outlook ، ناهيك عن إدارة الحملات من الأجهزة المحمولة وحتى استخدام اختبارات CAPTCHA لتجنب الاكتشاف.
خضعت الخدمة ، منذ بدايتها في مايو 2022 ، إلى العديد من التحسينات ، أهمها القدرة على إدارة الخوادم التي تشغل المجموعة من خلال روبوت Telegram. يبلغ سعرها حاليًا 300 دولارًا مقابل رسوم الترخيص الشهرية ، مع تكلفة تراخيص كبار الشخصيات 1000 دولار.
قالت Microsoft إنها اكتشفت العديد من حملات التصيد الاحتيالي كبيرة الحجم التي تغطي ملايين رسائل التصيد الاحتيالي يوميًا من مختلف الجهات الفاعلة التي تستفيد من الأداة.
يتضمن ذلك مجموعة أنشطة يطلق عليها اسم DEV-0928 وصفها ريدموند بأنها واحدة من "رعاة DEV-1101 الأكثر شهرة" والتي تم ربطها بحملة تصيد تضم أكثر من مليون رسالة بريد إلكتروني منذ سبتمبر 2022.
يبدأ تسلسل الهجوم برسائل بريد إلكتروني ذات سمة مستند تحتوي على رابط إلى مستند PDF ، والذي عند النقر عليه ، يوجه المستلم إلى صفحة تسجيل الدخول التي تتنكر كبوابة تسجيل الدخول لـ Microsoft ، ولكن ليس قبل حث الضحية على إكمال خطوة CAPTCHA.
وقالت مايكروسوفت: "قد يؤدي إدخال صفحة CAPTCHA في تسلسل التصيد الاحتيالي إلى زيادة صعوبة وصول الأنظمة الآلية إلى صفحة التصيد النهائية ، بينما يمكن للإنسان النقر بسهولة للوصول إلى الصفحة التالية".
على الرغم من أن هجمات AiTM مصممة لتجاوز أسلوب العائالت المتعددة MFA ، فمن الضروري أن تتبنى المؤسسات أساليب مصادقة مقاومة للتصيد الاحتيالي ، مثل استخدام مفاتيح أمان FIDO2 ، لمنع محاولات تسجيل الدخول المشبوهة.